---
title: Certificate Transparency (CT) Naplók
slug: ct-logs
lastmod: 2020-02-25
show_lastmod: 1
---



<p>A <a href="https://www.certificate-transparency.org/what-is-ct">Certificate Transparency (CT)</a> a TLS tanúsítványok kiállításának naplózására és felügyeletére szolgáló rendszer. A CT jelentősen javítja mindenki képességét a tanúsítványok kibocsátásának nyomon követésére és tanulmányozására, és ezek a képességek számos javulást eredményeztek a hitelesítésszolgáltatói ökoszisztémában és a webes biztonságban. Ennek eredményeképpen a CT gyorsan kritikus infrastruktúrává válik.</p>

<p>A Let's Encrypt minden általa kiállított tanúsítványt átad a CT naplóknak. Évente megosztott két CT naplót is üzemeltetünk <a href="https://letsencrypt.org/2019/05/15/introducing-oak-ct-log.html">Oak</a> és Testflume néven. Minden nyilvánosan megbízható tanúsító hatóságtól szívesen vesszük, ha beküld a naplóinkba. A CT naplóinkban már számos tanúsító hatóság gyökértanúsítványa szerepel. <a href="/contact">Lépjen kapcsolatba velünk e-mailben</a> az új gyökértanúsítványok naplóinkhoz való hozzáadásával kapcsolatban, ha az öné még nem szerepel a naplóban.</p>

<p>Iratkozzon fel a közösségi fórum <a href="https://community.letsencrypt.org/t/about-the-ct-announcements-category">CT bejelentések kategória</a> értesítéseire, hogy értesüljön a CT naplóinkkal kapcsolatos fontosabb bejelentésekről.</p>

<h2>Támogatás</h2>

<p>Szeretnénk köszönetet mondani a következő partnereknek a Let's Encrypt CT napló nagylelkű támogatásáért. Ha az Ön szervezete segíteni szeretne nekünk e munka folytatásában, kérjük, fontolja meg a <a href="https://www.abetterinternet.org/sponsor/">szponzorálást vagy adományozást</a>.</p>

<p class="text-center"><a href="https://sectigo.com/"><img src="/images/sectigo_logo_color.svg" width="240" alt="Sectigo"></a></p>

<h2>Architektúra</h2>

<p>Nézze meg a blogunkat, hogy megtudja <a href="https://letsencrypt.org/2019/11/20/how-le-runs-ct-logs.html">Hogyan futtatja a Let's Encrypt a CT naplókat</a>!</p>

<h2>Naplókövetés</h2>

<p>A Let's Encrypt létrehozott egy nyílt forráskódú CT naplókövető eszközt <a href="https://github.com/letsencrypt/ct-woodpecker">CT Woodpecker</a> néven. Ezt az eszközt saját naplóink stabilitásának és megfelelőségének ellenőrzésére használjuk, és reméljük, hogy mások is hasznosnak találják majd.</p>

<h2>CT naplók</h2>

{{< ct_logs data="production" >}}
    <li>Az Oak beépült az <a href="https://support.apple.com/en-us/HT209255">Apple</a> és a <a href="https://github.com/chromium/ct-policy/blob/master/ct_policy.md">Google</a> CT programokba.</li>
    <li>A production ACME API környezetünk itt nyújtja be a tanúsítványokat.</li>
{{< /ct_logs >}}

{{< ct_logs data="testing" >}}
    <li>Az ilyen naplókból származó SCT-ket <b>NEM SZABAD</b> beépíteni a nyilvánosan megbízható tanúsítványokba.</li>
    <li>A Let's Encrypt production és a <a href="/docs/staging-environment">staging</a> ACME API környezetek egyaránt küldenek tanúsítványokat a Testflume-nak, de a production környezet nem használja a kapott SCT-ket.</li>
    <li>A <a href="http://github.com/google/trillian">Trillian</a> és a <a href="https://github.com/google/certificate-transparency-go">certificate-transparency-go</a> új verzióit itt teszteljük, mielőtt bevezetnénk őket a production környezetbe.</li>
    <li>A Testflume elfogadott root-ok listája tartalmazza az összes Oak által elfogadott root-ot, valamint további teszt root-okat.</li>
    <li>A Testflume-ot más tanúsító hatóságok is használhatják tesztelési célokra.</li>
{{< /ct_logs >}}
<br>
<h2>Napló műveletek</h2>
<p>Egy adott CT naplóhoz tartozó root-ok felsorolásához a következő parancsot futtathatja az Ön által választott terminálban:</p>
<pre>
$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d &lt;&lt;&lt; "${i}" | openssl x509 -inform der -noout -issuer -serial
done
</pre>

<p>A tanúsítványok CT-naplóba történő benyújtását jellemzően a tanúsító hatóságok végzik. Ha ezzel szeretne kísérletezni, kezdje azzal, hogy lekér egy tetszőleges PEM-kódolású tanúsítványt kedvenc weboldalunkról. Másolja ki és illessze be a következő blokkot a terminálba.</p>
<pre>
$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2&gt;/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' &gt; example.crt
</pre>

<p>Mielőtt egy tanúsítványt elküldhetnénk, azt egy speciális struktúrában JSON-kódolással kell ellátni. A feladat elvégzéséhez használhatja a <a href="https://crt.sh/gen-add-chain">https://crt.sh/gen-add-chain</a> által biztosított JSON-generátort. A crt.sh segédprogram egy JSON csomagot fog visszaadni. Töltse le a csomagot a számítógépére, nevezze át a fájlt, ha szükséges, és adja ki a következő parancsot az add-chain művelet végrehajtásához (<a href="https://tools.ietf.org/html/rfc6962#section-4.1">RFC 6962 4.1 szakasz</a>), hogy a tanúsítványt elküldje egy CT naplóba. A kimenet tartalmazni fog egy aláírást, amely valójában egy <a href="https://letsencrypt.org/2018/04/04/sct-encoding.html">SCT</a>. Az aláírásról hamarosan bővebben.</p>
<pre>
$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}
</pre>

<p>Annak megerősítéséhez, hogy a CT naplót az Oak 2020 shard írta alá, használjuk a fenti parancs id mezőjét, és futtassuk le a következő paranccsal. Az eredmény a CT-napló naplóazonosítója lesz.</p>
<pre>
$ base64 -d &lt;&lt;&lt; "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
</pre>

<p>Az aláírás mező segítségével ellenőrizhetjük, hogy a tanúsítványt elküldték-e egy naplóba. A <a href="https://letsencrypt.org/2018/04/04/sct-encoding.html">SCT deep dive guide</a> segítségével tovább dekódolhatja ezt az értéket.</p>
<pre>
$ base64 -d &lt;&lt;&lt; "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84
</pre>
